Product Documentation

Découverte de Controller basée sur unité d'organisation Active Directory

Oct 21, 2016

Cette méthode de découverte Delivery Controller est prise en charge principalement pour la rétrocompatibilité, et est uniquement valide pour les Virtual Delivery Agent (VDA) pour bureaux Windows, et non les VDA pour serveurs Windows. La découverte basée sur Active Directory exige que tous les ordinateurs d'un site soient membres d'un domaine ; par ailleurs, le domaine utilisé par le Controller doit entretenir des relations de confiance avec le ou les domaines utilisés par les bureaux. Si vous utilisez cette méthode, vous devez configurer le GUID de l'unité d'organisation dans chaque registre de bureau.

Pour effectuer une découverte de Delivery Controller basée sur l'unité d'organisation, exécutez le script PowerShell Set-ADControllerDiscovery.ps1 sur le Controller (chaque Controller contient ce script dans le dossier $Env\:sProgramFiles\Citrix Broker Service\scripts d'installation). Pour exécuter le script, vous devez disposer des autorisations CreateChild sur une unité d'organisation parente, ainsi que des droits d'administration complets.

Lorsque vous créez un site, une unité d'organisation correspondante doit être créée dans Active Directory si vous souhaitez que les bureaux reconnaissent les Controller d'un site à l'aide d'Active Directory. L'unité d'organisation peut être créée dans un domaine quelconque de la forêt contenant vos ordinateurs. Il est recommandé que l'unité d'organisation contienne également les Controller du site. Cependant, cette condition n'est pas obligatoire. Un administrateur de domaine avec des privilèges adéquats peut créer l'unité d'organisation en tant que conteneur vide, puis déléguer les droits d'administration de l'unité d'organisation à un administrateur Citrix.

Le script crée plusieurs objets essentiels. Seuls les objets Active Directory standard sont créés et utilisés. Il n'est pas nécessaire de développer le schéma.
  • Un groupe de sécurité pour les Controller. Le compte d'ordinateur de tous les Controller du site doit appartenir à ce groupe de sécurité. Les bureaux d'un site acceptent les données provenant de Controller uniquement s'ils appartiennent à ce groupe de sécurité.

    Vérifiez que tous les Controller disposent du privilège « Accéder à cet ordinateur à partir du réseau » sur l'ensemble des bureaux virtuels exécutant le VDA. Pour ce faire, vous pouvez affecter ce privilège au groupe de sécurité des contrôleurs. Si les Controller ne disposent pas de ce privilège, les VDA ne pourront pas s'enregistrer.

  • Un objet SCP (Service Connection Point) qui contient des informations sur le site, tel que son nom. Si vous utilisez l'outil d'administration Utilisateurs et ordinateurs Active Directory pour inspecter l'unité d'organisation d'un site, vous devrez sans doute activer Fonctionnalités avancées dans le menu Affichage pour afficher les objets SCP.
  • Un conteneur appelé RegistrationServices, qui est créé dans l'unité d'organisation du site. Celui-ci contient un objet SCP pour chaque Controller du site. À chaque démarrage du Controller, il valide le contenu de son objet SCP et le met à jour si nécessaire.

Si différents administrateurs sont susceptibles d'ajouter et de supprimer des Controller une fois l'installation initiale effectuée, ils doivent disposer des autorisations requises pour créer et supprimer les enfants dans le conteneur RegistrationServices et les propriétés d'écriture sur le groupe de sécurité des Controller ; ces autorisations sont accordées automatiquement à l'administrateur qui exécute le script Set-ADControllerDiscovery.ps1. L'administrateur de domaine ou l'administrateur à l'origine de l'installation peuvent accorder ces autorisations. Citrix recommande la configuration d'un groupe de sécurité à cette fin.

Lorsque vous utilisez une unité d'organisation de site :
  • Les informations sont écrites dans Active Directory uniquement lorsque vous installez ou désinstallez ce logiciel, ou lorsqu'un Controller démarre et doit mettre à jour les informations dans son objet SCP (par exemple, lorsque le nom du Controller ou le port de communication a été modifié). Par défaut, le script Set-ADControllerDiscovery.ps1 définit les autorisations appropriées relatives aux objets de l'unité d'organisation d'un site, en accordant à chaque Controller un accès en écriture sur leurs objets SCP. Le contenu des objets de l'unité d'organisation du site permet d'établir une relation de confiance entre les bureaux et les Controller. Assurez-vous que :
    • seuls les administrateurs autorisés peuvent ajouter ou supprimer des ordinateurs dans le groupe de sécurité des Controller à l'aide de la liste de contrôle d'accès (ACL) s'y référant ;
    • seuls les administrateurs autorisés et leur Controller respectif peuvent modifier les informations de l'objet SCP du Controller.
  • Si votre déploiement utilise la réplication, tenez compte des éventuels retards ; consultez la documentation Microsoft pour plus d'informations. Ce point est particulièrement important si vous créez l'unité d'organisation du site dans un domaine contenant des contrôleurs de domaine situés dans différents sites Active Directory. En fonction de l'emplacement des bureaux, des Controller et des contrôleurs de domaine, les modifications apportées à Active Directory lors de la création initiale de l'unité d'organisation du site, de l'installation ou de la désinstallation de Controller, de la modification d'un nom de Controller ou de ports de communication, peuvent ne pas être visibles sur les bureaux tant que les informations n'ont pas été répliquées dans le contrôleur de domaine approprié. Le retard de la réplication peut entraîner, entre autres, les conséquences suivantes : les bureaux ne peuvent pas établir de contact avec les Controller, et de ce fait, ne sont pas disponibles pour les connexions utilisateur.
  • Ce logiciel utilise plusieurs attributs d'objet ordinateur standard dans Active Directory pour gérer les bureaux. En fonction de votre déploiement, le nom de domaine complet de l'objet machine, tel qu'indiqué dans l'enregistrement Active Directory du bureau, peut être intégré aux paramètres de connexion renvoyés à l'utilisateur en vue de la connexion. Assurez-vous que les informations sont cohérentes avec les informations dans votre environnement DNS.

Pour déplacer un Controller vers un autre site à l'aide de la découverte Controller basée sur l'unité d'organisation

Suivez les instructions fournies dans la section Pour déplacer un Controller. Lorsque vous supprimez le Controller de l'ancien site (étape 2), exécutez le script PowerShell : Set-ADControllerDiscover –sync.

Le script assure la synchronisation entre l'unité d'organisation et l'ensemble actuel des Controller. Après avoir joint le site existant (étape 4), exécutez le même script sur un Controller dans le nouveau site.